Microsoft Cloud for Sovereignty Baseline 機密原則法規合規性內建方案的詳細數據
下列文章詳細說明 Azure 原則 法規合規性內建方案定義如何對應至 Microsoft Cloud for Sovereignty Baseline 機密原則中的合規性網域和控件。 如需此合規性標準的詳細資訊,請參閱 Microsoft Cloud for Sovereignty Baseline 機密原則。 若要了解所有權,請參閱 Azure 原則原則定義與雲端中共同承擔的責任。
下列對應適用於主權基準機密原則控件的 Microsoft Cloud。 許多控制措施都是以 Azure 原則方案定義實作的。 若要檢閱完整方案定義,請在 Azure 入口網站中開啟 [原則],然後選取 [定義] 頁面。 然後,尋找並選取 [預覽]:主權基準 - 機密原則 法規合規性內建方案定義。
重要
下列每個控制措施都與一或多個 Azure 原則定義相關聯。 這些原則可協助您使用工具存取合規性;不過,控制措施和一或多個原則之間,通常不是一對一或完整對應。 因此,Azure 原則中的符合規範只是指原則定義本身,這不保證您完全符合所有控制措施需求的規範。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 此合規性標準的合規性領域、控制措施與 Azure 原則定義之間的關聯,可能會隨著時間而改變。 若要檢視變更歷程記錄,請參閱 GitHub 認可歷程記錄 \(英文\)。
SO.1:資料落地
Azure 產品必須部署並設定為使用核准的區域。
標識碼:MCfS 主權基準原則 SO.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 允許的位置 | 此原則可讓您限制您的組織在部署資源時可指定的位置。 它可用來強制執行地理合規性需求。 排除資源群組、Microsoft.AzureActiveDirectory/b2cDirectories,以及使用 'global' 區域的資源。 | 拒絕 | 1.0.0 |
| 允許資源群組的位置 | 此原則可讓您限制組織可以建立資源群組的位置。 它可用來強制執行地理合規性需求。 | 拒絕 | 1.0.0 |
| Azure Cosmos DB 允許的位置 | 此原則可讓您限制貴組織在部署 Azure Cosmos DB 資源時可指定的位置。 它可用來強制執行地理合規性需求。 | [parameters('policyEffect')] | 1.1.0 |
SO.3 - 客戶自控金鑰
Azure 產品必須設定為盡可能使用客戶管理的金鑰。
標識碼:MCfS 主權基準原則 SO.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽版]:Azure 復原服務保存庫應使用客戶自控金鑰來加密備份資料 | 使用客戶自控金鑰來管理備份資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/AB-CmkEncryption。 | Audit, Deny, Disabled | 1.0.0-preview |
| Azure Kubernetes Service 叢集中的作業系統和資料磁碟都應該使用客戶自控金鑰加密 | 使用客戶自控金鑰加密 OS 和資料磁碟,可在金鑰管理方面提供更大的控制能力和彈性。 這是許多法規和業界合規性標準的常見需求。 | Audit, Deny, Disabled | 1.0.1 |
| HPC Cache 帳戶應使用客戶自控金鑰加密 | 使用客戶自控金鑰管理 Azure HPC Cache 待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 | 稽核、停用、拒絕 | 2.0.0 |
| 受控磁碟應同時使用平台管理的金鑰和客戶自控金鑰進行雙重加密 | 要求高安全性,且擔憂與任何特定加密演算法、實作或金鑰遭盜用相關風險的客戶,可以選擇使用平台代控加密金鑰,在基礎結構層使用不同的加密演算法/模式,多一層加密的保障。 需要有磁碟加密集,才能使用雙重加密。 深入了解:https://aka.ms/disks-doubleEncryption。 | Audit, Deny, Disabled | 1.0.0 |
| MySQL 伺服器應使用客戶自控金鑰為待用資料加密 | 使用客戶自控金鑰來管理 MySQL 伺服器的待用加密。 根據預設,資料會使用服務管理的金鑰進行待用加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 | AuditIfNotExists, Disabled | 1.0.4 |
| PostgreSQL 伺服器應使用客戶自控金鑰加密待用資料 | 使用客戶自控金鑰來管理 PostgreSQL 伺服器的待用加密。 根據預設,資料會使用服務管理的金鑰進行待用加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 | AuditIfNotExists, Disabled | 1.0.4 |
| 佇列儲存體應使用客戶自控金鑰進行加密 | 使用客戶管理的金鑰,以更大的彈性保護您的佇列記憶體。 當您指定客戶自控金鑰時,該金鑰會用來保護及控制加密資料所需金鑰的存取權。 客戶自控金鑰提供額外的功能,可用於控制金鑰輪替,或以密碼編譯的方式清除資料。 | Audit, Deny, Disabled | 1.0.0 |
| SQL 受控執行個體應使用客戶自控金鑰來加密待用資料 | 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 | Audit, Deny, Disabled | 2.0.0 |
| SQL 伺服器應使用客戶自控金鑰來加密待用資料 | 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 | Audit, Deny, Disabled | 2.0.1 |
| 儲存體帳戶加密範圍應使用客戶自控金鑰來加密待用資料 | 使用客戶自控金鑰來管理儲存體帳戶加密範圍的待用加密。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 若要深入了解儲存體帳戶加密範圍,請參閱https://aka.ms/encryption-scopes-overview。 | Audit, Deny, Disabled | 1.0.0 |
| 儲存體帳戶應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰,以更具彈性的方式保護您的 blob 和檔案儲存體帳戶。 當您指定客戶自控金鑰時,該金鑰會用來保護及控制加密資料所需金鑰的存取權。 客戶自控金鑰提供額外的功能,可用於控制金鑰輪替,或以密碼編譯的方式清除資料。 | Audit, Disabled | 1.0.3 |
| 表格儲存體應使用客戶自控金鑰進行加密 | 使用客戶管理的金鑰,以更大的彈性保護您的資料表記憶體。 當您指定客戶自控金鑰時,該金鑰會用來保護及控制加密資料所需金鑰的存取權。 客戶自控金鑰提供額外的功能,可用於控制金鑰輪替,或以密碼編譯的方式清除資料。 | Audit, Deny, Disabled | 1.0.0 |
SO.4 - Azure 機密運算
Azure 產品必須設定為盡可能使用 Azure 機密運算 SKU。
標識碼:MCfS 主權基準原則 SO.4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 允許的資源類型 | 此原則可讓您指定組織可以部署的資源類型。 只有支援 「標記」和「位置」的資源類型才會受到此原則的影響。 若要限制所有資源,請複製此原則,並將 『mode』 變更為 『All』。 | 拒絕 | 1.0.0 |
| 允許的虛擬機器大小 SKU | 此原則可讓您指定組織可部署的一組虛擬機大小 SKU。 | 拒絕 | 1.0.1 |
下一步
有關 Azure 原則的其他文章:
- 法規合規性概觀。
- 請參閱方案定義結構。
- 在 Azure 原則範例檢閱其他範例。
- 檢閱了解原則效果。
- 了解如何補救不符合規範的資源。